2024, “CISO yılı” olarak anılıyor ancak bu bir kutlama etiketi olmaktan çok uzak. Bu yıl, C-suite’teki güvenlik liderleri her zamankinden daha zorlu bir dengeleme eylemiyle karşı karşıya.
2024, CISO’lar için yeni bir döneme işaret ediyor; artan yasal kaygılar, uyumluluk gereklilikleri ve yönetim kurulu düzeyindeki incelemeler, halihazırda role eşlik eden önemli baskılara (güvenlik tehditleri, yetenek eksiklikleri ve tükenmişlik) ekleniyor.
Ekim 2023’te SEC’in SolarWinds CISO’suna yönelik suçlamaları, kişisel özgürlüklerinin potansiyel olarak tehlikede olduğunu şu anda yaptıkları gibi bilerek birçok güvenlik liderinin rolleri hakkındaki düşüncelerini değiştirdi. İki seçenekle karşı karşıyalar: Bu büyüyen zorluklarla başa çıkmak için gelişmek ya da (son derece çekici olmayan) sonuçlarla yüzleşmek.
CISO’nun evrimi nasıl görünecek? 2024’te rolün değişeceği 4 yola bakalım.
CISO’nun rolünün 2024’te değişeceği 4 yol
1. SolarWinds’in ücretleri riskleri artıracak
CISO’lar için artık tehlikede olan tek şey maaşlar, performans primleri ve itibar değil; SolarWinds suçlamalarının da gösterdiği gibi, onların özgürlükleri de potansiyel olarak tehlikede.
Düzenleyiciler, tıpkı CFO’ların şirketlerinin mali durumunu adil bir şekilde sunması gerektiği gibi, CISO’ların da siber güvenlik duruşlarına ilişkin maddi gerçeği belirtmeleri gerektiğini açıkça belirtiyor.
Uber CISO’nun mahkumiyeti, liderlerin ihlaller konusunda şeffaf olması gerektiğini gösterdi. Artık aynı şey politikalar için de geçerli. CISO’lar erişim kısıtlamalarına ve güvenli bir yazılım geliştirme yaşam döngüsüne sahip olduklarını iddia ederlerse daha iyi olur Aslında onlara sahip ol.
En iyi CISO’lar C Suite ile mümkün olduğunca fazla bilgi paylaşacak ve bu bilgileri daha fazla bütçe, daha fazla araç ve daha fazla personel elde etmek için bir etken olarak kullanacak.
2. CISO’lar daha iyi kaynaklara sahip ekipler arayacak veya başka bir yere gidecek
Güvenlik kusurlarının sorumluluğunu üstlenmek zorunda kalabileceklerini bilen CISO’lar, güçlü bir siber güvenlik bütçesi, personel sayısı ve araçlar talep edecek veya bunları sağlamaya istekli bir şirket bulacak. Ve birçok akıllı CISO, yetersiz kaynak bulmayı bekledikleri pozisyonları geri çevirecektir.
Bu, Başkan Yardımcısı ve CISO düzeyindeki uygulayıcıların şu soruya yanıt verdiği 2023 SOC’nin Sesi raporundaki verilerle desteklenmektedir: “Mevcut kuruluşunuz sizi elinizde tutmak için ne yapabilir?”
Ücretlendirme şüphesiz bir faktör olsa da (yanıt verenlerin %36’sı kabul etti), daha iyi kaynaklara sahip bir ekip açık ara en yaygın yanıttı; %49’u gelişmiş yeteneklere sahip daha modern araçlar istiyordu ve %45’i daha fazla personel istiyordu.
3. CISO’lar CEO’nun dikkatini isteyecektir
Güvenlik liderleri 2024’te üst düzey yöneticiler arasında daha yüksek sese sahip olacak. CISO’lar daha fazla konuyu yönetim kurulunun dikkatine veya risk komitesine sunacak ve tüm şirketi riski tek başına üstlenmek yerine kabul etmeye zorlayacak.
Ayrıca daha fazla siber güvenlik sorununun toplantı odası sorununa dönüşmesini bekleyebiliriz. Halihazırda bir CIO’ya veya CTO’ya rapor veren CISO’lar, CEO’ya doğrudan ulaşacak bir hat aradıkça, komuta zinciri de değişebilir.
Kötü haberlerden biri; eklenen bu raporlama ve sorumluluk katmanları, şirketler yeni güvenlik standardını yakaladıkça başlangıçta inovasyonun hızını yavaşlatabilir.
4. CISO’lar otomasyonu benimseyecek
CISO’lar, yetersiz kaynaklara sahip ekipler ve yetersiz güvenlik duruşundan kaynaklanan sorunlara yanıt vermelerine yardımcı olmak için otomasyona yönelecek.
Önümüzdeki yıl için büyük bütçeler sağlayıp sağlayamayacaklarına bakılmaksızın, CISO’lar mevcut ekipleri ve yığınlarıyla daha fazlasını yapmak için otomasyonu kullanabilirler.
Güvenlik liderleri, olaylardan daha hızlı kurtulmak, güvenlik duruşlarını hızlı bir şekilde iyileştirmek ve mevcut araçların daha verimli çalışmasını sağlamak ve aynı zamanda ekiplerinin iş memnuniyetini artırmak için otomasyonu kullanabilir.
Elbette çoğu güvenlik lideri bunun zaten farkında. 2023 SOC’nin Sesi raporuna göre Başkan Yardımcısı ve CISO seviyesindeki katılımcıların %48’i işlerinin %50 veya daha fazlasının yazılım tarafından otomatikleştirilebileceğine inanıyor. Ancak 2023’teki olaylar onları otomasyon yolculuğuna başlamaya veya seviye yükseltmeye sevk edecek.
Thomas Kinsella ayrıca, Elastic ve Reddit gibi şirketlerin güvenlik liderleriyle röportaj yaptığı haftalık bir podcast olan The Future of Security Operations’a da ev sahipliği yapıyor.